DDOS Probleme

miDRO · 5. Februar 2012

hallo,

ich baue momentan mit einem freud eine community auf (momentan nur das Forum)
und seit anfang an werden wir von einigen personen eines anderen board´s geDDOSt
nun sind wir auf der suche nach einer kostenlosen DDOS protection....

Coludflair haben wir schn getestet allerdings hilft das nicht.

habt ihr eine andere lösung bitte um hilfe.

mfG.

miDRO

Julian · 5. Februar 2012

Benutzt ihr ein VServer/Rootserver für das Forum? - Wenn ja, könnte ich euch helfen.

miDRO · 5. Februar 2012

wir könntes beides benutzen haben einen

i7 root mit 16gb ram von gcserver
und einen vServer von Webtopia

wäre nett wenn du uns helfen würdest

foxxio.de · 5. Februar 2012

oha sorry aber wenn man nen i7 klein bekommt ist das sicher kein kiddie botnetz mehr das ist schon was dolleres...

miDRO · 5. Februar 2012

jo die Highminded kinder halt...tricky und co...
perma ddos allerdings läuft ja das forum momentan auf dem vserver...und der is ned besonders groß... 2ghz und 1gb ram...

**NevaKee** · 5. Februar 2012

host-united.de schrieb:

oha sorry aber wenn man nen i7 klein bekommt ist das sicher kein kiddie botnetz mehr das ist schon was dolleres...

Das hat doch meistens nichts mit der Leistung des Servers zu tun.
Wenn der Server eine 100MBit/s Anbindung hat und der Angreifer mit 150MBit/s drauf hält, dann ist die Leitung dicht, egal was für einen Prozessor der Server hat.

Um überhaupt eine Lösung zu finden, wäre erst mal interessant um welche Art von Angriff es sich handelt.

miDRO · 5. Februar 2012

Also das ganze wird wohl was größeres sein jedesmal wenn ein angriff kommt geht auf dem vserver der ts down / ist nicht mehr zu erreichen und das forum ebenfalls...
ich brauch echt hilfe denn soo können wir die community nicht laufen lassen...

foxxio.de · 5. Februar 2012

NevaKee schrieb:

Das hat doch meistens nichts mit der Leistung des Servers zu tun.
Wenn der Server eine 100MBit/s Anbindung hat und der Angreifer mit 150MBit/s drauf hält, dann ist die Leitung dicht, egal was für einen Prozessor der Server hat.

Um überhaupt eine Lösung zu finden, wäre erst mal interessant um welche Art von Angriff es sich handelt.

ist schon klar aber es gibt ja ANgriffstechniken bei der der ram ziemlich hoch geht sowie die Apache Last ein V server knickt da schneller ein bzw da reicht auch kiddie flooding aus

ihr solltet euch ein script schreiben das gewisse Anfragen über iptables einfach blockt

**virtualmarc** · 5. Februar 2012

Wenn die überhaupt noch auf den Server kommen.

miDRO · 5. Februar 2012

laut trafficstatistik is das eben bischen viel für kiddi flooding...
in: 223,61 GB out: 54,81 GB HEUTE!

leider kennen wir uns mit scripten nicht aus daher wird das wohl schwer...
auf den server kommen wir noch

CPU auslatung is konstant bei 11% aber der ram steigt an ist inzwischen von 8% auf 36% hoch.

**virtualmarc** · 5. Februar 2012

Zur abschwächung von SYN-Floods läuft bei uns folgendes Script:

Code

iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP
iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j LOG --log-prefix PING-DROP:
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j LOG –log-prefix “Stealth Scan”
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP
# TCP Flags funktionieren nicht überall!
iptables -A INPUT -p tcp –tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A FORWARD -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu

Alles anzeigen

Wird bei jedem Start ausgeführt, da die Regeln nach nem Neustart weg sind!
Das Script limitiert die Anzahl der Verbindungen pro IP, erzwingt ein SYN bei jedem Anfang der Paketen (Abwehr gegen stealth scans), sperrt ungewöhnliche TCP Flags und setzt die Maximum Segment Size etwas kleiner.

Dann kannst du noch SYN Cookies aktivieren:

Code

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

Das Programm ddos deflate kann auch helfen, am besten als minütlichen Cronjob ausführen.

Zum limitieren von HTTP Verbindungen pro IP kann man folgendes benutzen:

Code

iptables -A INPUT -p tcp –dport 80 -m iplimit –iplimit-above 6 -j REJECT

Bei dem Beispiel darf 1 IP maximal 6 Verbindungen gleichzeitig über HTTP aufbauen.

miDRO · 5. Februar 2012

wenn ich das hinbekomme werd ich das gleich mal ausprobieren danke melde mich dann später erneut...

Zitat

line 1: ptables: command not found
iptables v1.4.8: Couldn't load target `syn_flood':/lib/xtables/libipt_syn_flood.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information.
iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.
Bad argument `syn'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `syn'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp-flags'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp-flags'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp-flags'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp-flags'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp-flags'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp-flags'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp-flags'
Try `iptables -h' or 'iptables --help' for more information.

Alles anzeigen

... ???
iptables ist installed

**NevaKee** · 5. Februar 2012

Bei dem Quellcode bei Marc fehlt in der ersten Zeile noch das "i".

Zitat

iptables -N syn_flood

miDRO · 5. Februar 2012

joa haben wir gesehen aber er scheint das iptables dennoch nicht zu erkennen...=/

foxxio.de · 5. Februar 2012

welches OS habt ihr aufm Server? - die tage kam wieder ne Kernel Lücke raus sind eure Sachen aktuell?

**virtualmarc** · 5. Februar 2012

Lass mal testweise die ganzen mit den TCP Flags weg

miDRO · 5. Februar 2012

okay hat sich nun erstma erledigt...hab da einen kleinen plan geschmiedet...sry für alles...
auf nur der erste befehl hat wie gesagt nicht funtioniert...

aber ranke für die hilfe

mfG.

miDRO

Willkommen! Melden Sie sich an oder registrieren Sie sich.

DDOS Probleme

Teilen